יומן אבטחה

לאחר חמש ומשהו שנים כיועץ אבטחת מידע אני עוזב את תחום הייעוץ ועובר לעבוד בחברת תוכנה (עדיין בתחום אבטחת המידע). זו הזדמנות טובה לסכם את השנים האחרונות בשוק אבטחת המידע בארץ מנקודת מבט של יועץ.

• מאוד קל להיות יועץ אבטחה. כמות חברות הייעוץ וכמות היועצים מוכיחה זאת. כתבתי בעבר על שוק הלימונים של אבטחת המידע ואכן תחום הייעוץ בארץ (ואולי גם בחו"ל) הוא בהחלט שוק לימונים. הלקוחות אינם מסוגלים להבדיל בין היועצים הטובים יותר לטובים פחות ולכן אינם מוכנים לשלם תעריף שונה ליועצים שונים על סמך מומחיותם (הבדלי תעריפים נובעים רובם ככולם מהבדלי מיקוח ושיקולים עסקיים כאלה ואחרים). התוצאה היא שאיכות אמנם אינה מילה גסה בתחום הייעוץ, אך גם אינה יעד נחשק. אחראים לכך הלקוחות לא פחות מהיועצים (ואולי אף יותר).  כמובן שמעבר ליועצים הסוגיה תקפה גם לכל מיני מומחים שמסתובבים פה ומפרסמים כתבות ומידע מקצועי אחר (עיין ערך דני קושמרו)
• בתחום אבטחת המידע אין הסמכות כמעט ואלו שיש אינן מספקות. בחו"ל כמות הקורסים המוצעת רבה בצורה משמעותית (בין אם לימודים אקדמיים ובין אם קורסים מקצועיים במקומות רציניים) ואילו בארץ אין כמעט קורסים מקצועיים. כבר אמרתי בעבר שהקורס בבית הספר להכשרה בניהול בו אני מרצה (או ליתר דיוק, הרציתי) באוניברסיטת תל אביב הוא לטעמי הקורס המוביל בארץ, אך עניינו הוא רק ניהול אבטחת מידע והוא רק קורס אחד. התוצאה היא כמובן הסעיף הראשון ברשימה זו - מאוד קל להיות יועץ אבטחת מידע.
• ניהול אבטחת מידע הוא מקצוע ניהולי לכל דבר, אך מעטים הם האנשים הרואים בו ככזה. לטעמי מעטים הם האנשים שאף תופסים ניהול כמקצוע לכל דבר (למרות שלל התארים במנהל עסקים והעובדה שכל ישראלי רוצה להיות מנהל). התוצאה היא מיקוד יתר בנושאי טכנולוגיה וחוסר הבנה של תהליכים ארגוניים ומתודולוגיים בתחום אבטחת המידע.
• האינטגרציה בין התחום הטכנולגיים לתחום הלא טכנולוגיים באבטחת מידע חיונית, אך כמעט שאינה קיימת (בחלקה כתוצאה מהסעיף הקודם ובחלקה כתוצאה מהסעיף הראשון). התוצאה היא שמנהלי אבטחת מידע רבים מפספסים בבחירת פתרונות אבטחה ומטמיעים פילים לבנים.
• תחום אבטחת המידע התחיל כתחום לא טכנולוגי בעליל (טוב, בערך) ועבר לשלב הטכנולוגי שלו. בשנתיים האחרונות, בעיקר כתוצאה מכניסת הוראות הפיקוח על הבנקים והביטוח וכן כתוצאה מפריחה בעולם של תקן 7799 ו-27001 קיימת חזרה לתחומים המתודולוגיים. האינטגרציה בין השניים עדיין לא לחלוטין קיימת, אבל אולי נגיע לשם יום אחד.
• עקב היות תחום אבטחת המידע לא ממוקצע וצעיר יחסית התחום נשלט על ידי זמזומיות (Buzzwords). התוצאה היא שיצא לי לנכוח בדיונים מדיונים שונים בהם שמעתי מומחים, מומחים למחצה ומומחים לעתיד מתבטאים בנושאים ברהיטות רבה ללא כל הבנה. מ-PKI ועד SIM, דרך Common Criteria ועד 27001, כולם יודעים לדבר על הדבר, אך מעטים מבינים את הדבר עצמו. התוצאה היא אופנות מתחלפות (ראו security 2.0). וכמו שאמר ברנארד שואו (ציטוט לא מדויק) - אופנה היא דבר כה גרוע שכל מספר שנים יש להחליף אותו.
• חסר ידע בתחום אבטחת המידע בארץ. לא חסר ידע בעולם, אך חסר ידע בעברית. מעטים מדי קוראים ספרות מקצועית או עוקבים אחר דיונים מקצועיים על בסיס שוטף באנגלית וכמות הידע בעברית מועטה מדי (בין היתר, הסיבה להקמת בלוג זה). מאידך, הידע שנצבר בארץ (ויש לא מעט מזה) אינו מופץ ואינו מפורסם. זה קצת חבל שארגונים לא רואים לנכון לפרסם יותר על סוגיות אבטחת מידע עמן התמודדו (ואני לא מתכוון לכתבות פרסומיות של חברות שהטמיעו פתרון אבטחת מידע בארגונים). ישנו מחקר בארץ בנושאי אבטחת מידע, אך משום מה הוא לא מתפרסם כמעט (בכלל?) בעברית.
• סך הכל ישנה שונות רבה בין ארגונים בכל האמור להשקעה ומקצועיות רמת אבטחת המידע ומנהליה. ישנם ארגונים המשקיעים תשומות רבות ומגיעים לתוצאות מאוד יפות וישנם כמובן את אלה שלא מגיעים לשום מקום.
• אין האקרים עבריים. משפט מפוצץ משהו, אך נכון לצערי. אם נקבל (ואני לא בטוח שאני מקבל) את ההגדרה הרובין הודית של האקרים - כאלה שפורצים מערכות כדי לשפר את רמת אבטחת המידע שלהן, אזי אין האקרים עבריים. יש הרבה האקרים אולי בישראל, אך משום מה הם לא פועלים בארץ. לחילופין, ייתכן וכל האתרים הגדולים בארץ מאובטחים בצורה מושלמת (אך אני מתקשה להאמין בכך). היחידי שעונה להגדרה הזו (והמדד הסובייקטיבי שלי הוא כמובן פרסום) הוא גיא מזרחי שמעת לעת עולה על פרצות באתרים ומדווח עליהן. אני תוהה מדוע זה כך וכבר כתבתי על זה כאן.